今天我的脚本被测试组的蹂躏了....
1.举个最简单的例子吧:
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>just 4 test</title>
<script type="text/javascript">
function test()
{
var value = document.getElementById('text').value ;
if(value==null || value=="")
{
alert('不能空')
return false
}
return true;
}
</script>
</head>
<body>
<form action="" method="post" name='gg'>
<input type="text" id="text"/>
<input type="button" onclick="javascript:if(test())gg.submit()" value="Encode"/>
</form>
</body>
</html>
测试在text里输入 "><script>alert("XSS")</script>
提交.....
结果再次读入这个记录的时候会弹出alter.....
2.于是我建了一个正则,专门在提交之前检查是否存在<script>这样的字符串
测试在text里仍旧输入"><script>alert("XSS")</script>
然后在地址栏里输入javascript:alert(test=function test(){alert('蹂躏你')})
提交......
结果再次读入这个记录的时候会弹出alert.....
3.给text添加onchange="javascript:this.value=escape(this.value)"
结果被告知中间可以包含空格,但是空格会变成%xxxxxx
4.onchange="javascript:this.value=escape(this.value). .replace(/%20/g,' ')"
等待审查中......
而且我在想,如果可恶的测试把onchange()都重写了,我该怎么办.......
分享到:
相关推荐
"3dsmax脚本大全"这个压缩包很可能包含了多种3dsmax使用的脚本,这些脚本可能涵盖建模、材质、灯光、动画、粒子系统等多个方面。 一、脚本基础 1. 脚本语言:3dsmax支持两种主要的脚本语言——MaxScript和Python。...
- **运行控制**:脚本提供了对运行环境的控制,比如通过“orig_includes”和“orig_excludes”指定哪些URL可以运行脚本,哪些URL被排除在外。 **3. 脚本管理** - **更新检查**:脚本支持自动检查更新,确保用户...
在PADS中,脚本文件是提升工作效率的重要工具,尤其对于重复性任务或者自定义操作,编写脚本可以实现自动化处理。本文将详细介绍"PADS常用脚本文件"及其应用。 1. **脚本基础**: - 脚本语言:PADS主要使用VHDL和...
在GG脚本中,Lua被用来编写灵活、高效的脚本,用于执行游戏内的各种操作,如自动打怪、收集物品等。对于初学者来说,理解Lua的基础语法和特性是十分重要的。 首先,Lua中的数据类型包括数字、字符串、布尔值、表...
日志被记录为基于 python 的脚本。用户可以修改这些脚本或创建新的脚本,这称为脚本。这些功能使用户能够快速轻松地重放已经通过记录日志运行的分析,以及扩展功能,自动化重复分析,并通过脚本以批处理模式运行分析...
此BAT脚本可以帮助开发人员将某文件夹下所有SQL脚本按文件名依次在指定数据库中批量执行。并且生成日志文件,可查看执行过的所有脚本名称和错误信息。 注意: (1) 使用前需确保已将sqlcmd加入到系统环境变量中。 (2...
为了保护知识产权和防止非法修改,WinCC 7.0的C脚本通常会被加密。解密脚本的过程涉及以下几个步骤: 1. 获取加密脚本:首先,我们需要获取到加密的C脚本文件,这通常是.exe或.dll形式。 2. 分析加密机制:理解...
在SCDM中,你可以通过文件>新建>脚本来打开脚本编辑器,输入相应的Python代码,然后点击运行按钮,脚本就会被执行。 **SCDM脚本介绍** SCDM的脚本环境允许用户录制或编写脚本命令,自动化重复任务和复杂工作流程,...
6. 游戏脚本的优化:游戏脚本的优化是游戏脚本设计中的重要步骤,游戏脚本的优化需要考虑游戏脚本的性能、游戏脚本的可读性和游戏脚本的维护性。从提供的实例中,我们可以看到游戏脚本的优化需要包括游戏脚本的优化...
wincc脚本数据手册,最全的C脚本,介绍详细,官方资料
与不支持的外接设备通讯,意味着通过编写扩展脚本,可以实现与那些未直接被PRO-FACE支持的外设进行数据交互。例如,可以编写脚本从连接在USB端口的条形码扫描器中读取数据,并将这些数据输出到连接在COM1端口的串行...
《RPG Maker XP脚本集合:打造你的游戏世界》 RPG Maker XP是一款深受爱好者喜爱的游戏制作工具,它允许用户无需编程基础即可构建自己的角色扮演游戏。而“rpg maker xp脚本集合”则为这个平台提供了更为丰富的功能...
在WinCC中,脚本语言被广泛用于自动化任务、数据处理和与用户界面元素的交互。WinCC支持的C脚本类似于标准的C语言,而VBS脚本则基于Visual Basic语言的简化版本。这两种脚本语言在语法上有所不同,但都提供了丰富的...
在某些官方或特定规则的服务器中,使用脚本可能会被视为作弊,可能导致账号被封禁。因此,玩家在使用时需了解并遵守所在服务器的规定,以免对自己的游戏生涯造成负面影响。 至于压缩包中的文件"cstrike_schinese"和...
《WINDOWS脚本技术手册》是一本全面覆盖Windows脚本编程技术的权威指南,它深入浅出地介绍了在Windows操作系统环境中,如何利用各种脚本语言进行系统管理和自动化操作。手册不仅涵盖了JScript、VBScript这两种主要的...
1. **印刷行业:**在印刷行业中,苹果脚本被用来实现自动化工作流程,比如自动调整图像大小、格式转换等。常用的软件包括Photoshop、QuarkXPress 和 InDesign。 2. **FileMaker Pro 开发:**苹果脚本可以用来开发...
Linux运维自动化运维脚本.zip,自动化运维脚本 介绍 Linux系统运维中各种一键脚本 使用教程 openssh一键升级脚本,支持centos6、centos7、centos8。 Linux运维自动化运维脚本.zip,自动化运维脚本 介绍 Linux系统...
《星穹铁道自动使用兑换码脚本》是一款专为《星穹铁道》游戏设计的辅助工具,它能够帮助玩家自动使用游戏内的兑换码,从而省去手动输入的繁琐步骤,提高游戏体验。该脚本基于Python编程语言编写,因此在使用前,用户...
STW脚本和Assa脚本指令详解 《STW脚本和Assa脚本指令详解》电子书由渔人制造收集制作,部分内容顺序为了阅读方便做了必要的调整,在此特别说明并向原作者致歉。